tasklist命令参数应用详细图解
一 操作實例
不帶參數(shù);
/svc參數(shù);
/SVC 顯示每個進程中的服務(wù)信息,當(dāng)/fo參數(shù)設(shè)置為table時有效。
列出調(diào)用了某個dll的進程;
列出系統(tǒng)中正在運行的非“SYSTEM“狀態(tài)的所有進程。
查看遠程主機進程列表;需要遠程主機的RPC服務(wù)支持;
/v 列出詳細信息;
/fi 過濾器;下圖是列出pid大于10000的進程;
/fo 輸出格式;下圖是csv格式;
不帶輸出格式;
不列出詳細信息;
二 TASKLIST命令
Tasklist"是 winxp/win2003/vista/win7/win8下的命令,用來顯示運行在本地或遠程計算機上的所有進程,帶有多個執(zhí)行參數(shù)。
中文名 任務(wù)列表 外文名 tasklist 功 ? ?能 列出當(dāng)前運行的進程 適用系統(tǒng)Windows XP以上
目錄
1 Tasklist介紹
? 使用格式
? 參數(shù)含義
2 應(yīng)用實例
? 查看本機進程
? 查看遠程系統(tǒng)的進程
? 查看系統(tǒng)進程提供的服務(wù)
? 查看調(diào)用DLL模塊文件的進程列表
? 使用篩選器查找指定的進程
3 綜合應(yīng)用之結(jié)束進程
? Tasklist
? NTSD
Tasklist介紹
使用格式
tasklist [/s <Computer> [/u [<Domain>\]<UserName> [/p <Password>]]] [{/m <Module> | /svc | /v}] [/fo {table | list | csv}] [/nh] [/fi <Filter> [/fi <Filter> [ ... ]]]
參數(shù)含義
/S <computer> 指定連接到的計算機或IP地址,默認本機。
/u [<Domain>\]<UserName> 指定使用哪個用戶執(zhí)行這個命令。
/P [password] 為指定的用戶指定密碼。
/M [module] 列出調(diào)用指定的DLL模塊的所有進程。如果沒有指定模塊名,顯示每個進程加載的所有模塊。
/SVC 顯示每個進程中的服務(wù)信息,當(dāng)/fo參數(shù)設(shè)置為table時有效。
/V 顯示詳細信息。
/FI filter 顯示一系列符合篩選器指定的進程。
/FO format 指定輸出格式,有效值:TABLE、LIST、CSV。
/NH 指定輸出中不顯示欄目標題。只對TABLE和CSV格式有效。
filter可使用的參數(shù)和操作符
過濾器名稱
可用操作符 可用值
STATUS eq, ne RUNNING | NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne 映像名稱
PID eq, ne, gt, lt, ge, le PID值
SESSION eq, ne, gt, lt, ge, le 會話數(shù)量
SESSIONNAME eq, ne 會話名稱
CPUTIME eq, ne, gt, lt, ge, le CPU的使用時間,格式為HH:MM:SS
MEMUSAGE eq, ne, gt, lt, ge, le kb為單位的內(nèi)存使用量
USERNAME eq, ne 合法用戶名
SERVICES eq, ne 服務(wù)名稱
WINDOWTITLE eq, ne 窗口標題
MODULES eq, ne DLL名稱
應(yīng)用實例
查看本機進程
在“命令提示符”中輸入Tasklist命令即可顯示本機的所有進程(圖1)。本機的顯示結(jié)果由5部分組成:圖像名(進程名)、PID、會話名、會話#和內(nèi)存使用。
查看遠程系統(tǒng)的進程
在命令提示符下輸入“Tasklist /s 218.22.123.26 /u jtdd /p 12345678”(不包括引號)即可查看到IP地址為218.22.123.26的遠程系統(tǒng)的進程。其中/s參數(shù)后的“218.22.123.26”指要查看的遠程系統(tǒng)的IP地址,/u后的“jtdd”指Tasklist命令使用的用戶賬號,它必須是遠程系統(tǒng)上的一個合法賬號,/p后的“12345678”指jtdd賬號的密碼。
注意:使用Tasklist命令查看遠程系統(tǒng)的進程時,需要遠程機器的RPC服務(wù)的支持,否則,該命令不能正常使用。
查看系統(tǒng)進程提供的服務(wù)
Tasklist命令不但可以查看系統(tǒng)進程,而且還可以查看每個進程提供的服務(wù)。如查看本機進程SVCHOST.EXE提供的服務(wù),在命令提示符下輸入“Tasklist /svc”命令即可(圖3)。你會驚奇地發(fā)現(xiàn),有4個SVCHOST.EXE進程,而總共有二十幾項服務(wù)使用這個進程。
對于遠程系統(tǒng)來說,查看系統(tǒng)服務(wù)也很簡單,使用“Tasklist /s 218.22.123.26 /u jtdd /p 12345678 /svc”命令,就可以查看IP地址為218.22.123.26的遠程系統(tǒng)進程所提供的服務(wù)。
查看調(diào)用DLL模塊文件的進程列表
要查看本地系統(tǒng)中哪些進程調(diào)用了shell32.dll模塊文件,只需在命令提示符下輸入“Tasklist /m shell32.dll”即可顯示這些進程的列表。
使用篩選器查找指定的進程
在命令提示符下輸入“TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running”,就可以列出系統(tǒng)中正在運行的非SYSTEM狀態(tài)的所有進程。其中“/FI”為篩選器參數(shù),“ne”和“eq”為關(guān)系運算符“不相等”和“相等”。
綜合應(yīng)用之結(jié)束進程
Tasklist
談到“Tasklist”命令,我們就不得不提到它的孿生兄弟“Taskill”命令,顧名思義,它是用來關(guān)掉進程的。
要關(guān)掉本機的notepad.exe進程,有兩種方法:
1、先使用Tasklist查找它的PID,假設(shè)系統(tǒng)顯示本機notepad.exe(notepad.exe是個病毒性程序,很難刪除,一般在C:/windows/system32下)進程的PID值為1132,然后運行“Taskkill /pid 1132”命令即可。其中“/pid”參數(shù)后面是要終止進程的PID值。
2、直接運行“taskkill /IM notepad.exe”命令,其中“/IM”參數(shù)后面為進程的圖像名。
NTSD
系統(tǒng)debug級的ntsd,很多進程Tasklist是殺不了的,但是用ntsd就可以,基本上除了WINDOWS系統(tǒng)自己的管理進程,ntsd都可以殺掉,不過有些rootkit級別的超級木馬就無能為力了,不過幸好這類木馬還是很少的。
1、利用進程的PID結(jié)束進程
命令格式:ntsd -c q -p pid
命令范例: ntsd -c q -p 1332 (結(jié)束explorer.exe進程)
2、利用進程名結(jié)束進程
命令格式:ntsd -c q -pn ***.exe (***.exe 為進程名,exe不能省)
更多................
tasklist /v /fi "PID gt 1000" /fo csv
tasklist /fi "USERNAME ne NT AUTHORITY\SYSTEM" /fi "STATUS eq running"
tasklist /v /fi "STATUS eq running"
tasklist /s srvmain /nh tasklist /s srvmain /svc /fi "Modules eq ntdll*"
tasklist /s srvmain /u maindom\hiropln /p p@ssW23 /nh
總結(jié)
以上是生活随笔為你收集整理的tasklist命令参数应用详细图解的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C语言复习(1)
- 下一篇: C#dC# 简单网页外挂实例